Установка и использование FeroxBuster

FeroxBuster установка использование

FeroxBuster — это инструмент с открытым исходным кодом для тестирования безопасности веб-приложений. Он помогает находить скрытые ресурсы сайтов, такие как директории и файлы, которые могут быть недоступны напрямую, но все же доступны на сервере. В статье рассмотрим установку и примеры использования FeroxBuster на Kali Linux.

Еще по теме: Лучшие сканеры уязвимостей

Установка и использование FeroxBuster

FeroxBuster использует метод форсированного обращения, при котором целью является перечисление и доступ к ресурсам, на которые нет ссылок в веб-приложении, но к которым все еще может получить доступ злоумышленник.

FeroxBuster использует перебор в сочетании со списками для поиска контента в целевых каталогах.

Преимущества FeroxBuster:

  • Может быть использован для обнаружения скрытых ресурсов, на которые нет ссылок в веб-приложении.
  • Может использоваться для обнаружения различных типов уязвимостей, включая SQL-инъекции, XSS и другие.
  • Быстрый и простой в использовании.

Недостатки FeroxBuster:

  • Может привести к некоторому количеству ложных срабатываний.
  • Неэффективен для обнаружения уязвимостей, связанных с некорректной конфигурацией приложения или неправильным использованием API.

Установка Feroxbuster на Kali Linux

Обновите систему с помощью следующей команды:

Установите FeroxBuster:

Использование FeroxBuster на Kali Linux

Параметры запуска FeroxBuster:

FeroxBuster также поддерживает использование регулярных выражений для поиска скрытых ресурсов. Например, вы можете использовать регулярное выражение для поиска файлов с расширением .php и .html: «-x ‘(\.php|\.html)$'».

Подробнее в официальном репозитории на GitHub: https://github.com/epi052/feroxbuster

Примеры использования FeroxBuster на Kali Linux

Несколько значений:

Включение заголовков:

IPv6, нерекурсивное сканирование с включенным логированием уровня INFO:

Чтение URL из STDIN; выводить только полученные URL в другой инструмент:

Проксирование трафика через Burp Suite:

Проксирование трафика через SOCKS-прокси (включая DNS-запросы):

Передача токена аутентификации через параметр запроса:

Использование FeroxBuster для прохождения HTB Agile

Запускаем машину Agile с площадки Hack The Box и заряжаем сканирование с помощью Nmap:

Результат скрипта Nmap

Nmap нашел два откры­тых пор­та:

  • 22 — служ­ба OpenSSH 8.9p1
  • 80 — веб‑сер­вер Nginx 1.18.0

Первым делом пытаемся открыть веб.

FeroxBuster как использовать
Глав­ная стра­ница agile.htb

Видим главную стра­ницу Nginx, а это говорит, о том, что основной сайт находится в дру­гом катало­ге или на дру­гом домене. Поп­робу­ем его най­ти используя FeroxBuster.

Где:

  • -u — урл.
  • -w — сло­варь (в данном случае SecLists).
  • -d — глу­бина ска­ниро­вания.
  • -t — количес­тво потоков.

Результат сканирования каталогов Feroxbuster

Использование FeroxBuster позволяет найти редирект на домен superpass.htb.

FeroxBuster Kali Linux

Альтернативные инструменты фаззинга веб-приложений

Существует множество альтернативных инструментов для фаззинга веб-приложений, таких как:

  • ffuf (Fuzz Faster U Fool) — это инструмент для быстрого перебора директорий и файлов на веб-сайтах.
  • DirBuster — инструмент для фаззинга веб-приложений, который использует метод грубой силы для поиска скрытых ресурсов.
  • dirsearch — инструмент для поиска скрытых директорий и файлов на веб-сайтах путем перебора.
  • Wfuzz — инструмент для тестирования веб-приложений, включая перебор директорий и файлов для поиска скрытых ресурсов.

Каждый из этих инструментов имеет свои достоинства и недостатки, и выбор инструмента зависит от конкретных потребностей и задач.

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий